Dans un premier temps, il faudrait peut-être préciser cet énoncé.
Un des concepts de la protection de la vie privée veut que l'individu maintienne le contrôle sur ses renseignements personnels. Ce concept date du début des années 1970, avant l'arrivée d'Internet. Depuis ce temps, les choses ont évidemment évolué. Aujourd'hui, on retrouve beaucoup d'information et les modèles d'affaires sont complexes. Il y a aussi des partenariats. De plus, les politiques en matière de vie privée sont extrêmement longues, complexes et détaillées, ce qui permet de s'assurer que l'individu a toute l'information. Par contre, l'individu ne prend pas le temps de lire ces informations; c'est trop complexe et cela représente un trop grand fardeau.
Tenant compte de cela, il vaut la peine, à mon avis, de tenter de réduire le besoin du consentement, de mettre l'accent sur les situations qui requièrent le consentement de l'individu tout en introduisant d'autres bases légales pour protéger l'individu, un peu comme l'a fait l'Europe avec le Règlement général sur la protection des données. En ce sens, je pense que le projet de loi est assurément un pas dans la bonne direction avec les exceptions au consentement.
Évidemment, il faut mettre d'autres garde-fous. Par exemple, lorsqu'on parle de l'exception d'intérêt légitime, l'entreprise doit documenter pourquoi elle pense que c'est acceptable et faire une évaluation des risques. Il y a quand même des protections. On donne un peu plus de travail aux entreprises pour s'assurer qu'elles protègent les droits, et il y a des pénalités. La motivation de l'entreprise est, bien sûr, de s'assurer d'être conforme et socialement responsable, mais aussi d'éviter les pénalités. Au vu de ces pénalités, qui s'alignent avec ce qu'on voit en Europe, l'incitatif est présent dans le projet de loi.